后端MD5加密,如何保证key存放的安全性问题!求经验人士指点

Anna_mei 发布于 07/29 17:20
阅读 385
收藏 1

前端请求后端API 会带cookie ,

我目前的做法是前端传cookie 里面有一堆参数,然后一个hash值,

一堆参数和服务器的一个key加密MessageDigest,最后得出值与hash是否相同,就代表成功和失败。

现在关键就是这个key,这个key 感觉就是关键呀,我是写在app.xml里面的,感觉好不保险哦,好担心被人偷了哈哈。请问大神们咋办?你们都咋做的呀?

加载中
0
ZiFzzy
ZiFzzy

JWT讲真风险很大

0
红薯官方
红薯官方

都放在客户端了,那还能咋嘀。

0
前端大师傅
前端大师傅

楼主可能对服务端的机制不了解。楼主需要知道的是并不是放在www_root目录下的所有文件都能直接被访问。

像app.xml并不是在浏览器中直接可以访问到的,就算你知道路径也无法访问,因为服务器有一个mime类型拦截。

只需要把mime类型设计成拦截就可以不被下载。这样就安全了了。像htm,css,js这些之所以被下载,因为开放了mime访问类型。如果不开放是无法直接get到的。

Anna_mei
Anna_mei
回复 @起个起个名字都难 : 好像是salt,抱歉对这个不太熟悉没说清楚,代码就是 MessageDigest.getInstance("SHA-512");这样初始化的
起个起个名字都难
起个起个名字都难
回复 @前端大师傅 : 楼主应该是用的散列加密,key应该是salt,他没说清楚
前端大师傅
前端大师傅
回复 @起个起个名字都难 : 如果是客户端放key,那一定是公钥,公钥加密然后hash传到服务端,再从app.xml里取出私钥进行解密再校验hash,然后xx操作。私钥一般都存服务端。还请相信服务器不是那容易被破解的好吗。这位兄台。
起个起个名字都难
起个起个名字都难
你这只考虑了访问的问题,放服务端都可能丢,何况放客户端
0
郭里奥

你了解下csrf的防御就够了

返回顶部
顶部